Apache HTTP Server 版本2.4.0到2.4.55上的某些mod_proxy 配置允许HTTP 请求走私攻击。当启用 mod_proxy 以及某种形式的 RewriteRule 或 P...
高性能漏洞扫描器 afrog(5月14日更新)
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负...
CVE-2020-11978—Apache Airflow 示例dag中的命令注入漏洞复现
原理 Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令Apach...
[安全开发] SQL注入扫描(一股子GPT味~)
实际上大部分都是它写的,它真我哭参加freebuf知识大陆的共建:https://wiki.freebuf.com/detail?tribal_id=45&camp_id=124&en...
网络侦查信息收集工具 Th3inspector
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,...
记录一次邮件钓鱼
事件背景 上个月针对公司全员进行了一次信息安全意识培训,于是为了验证一下培训效果,趁五一假期刚结束大家还没正式进入工作状态,开展了本次邮件钓鱼攻击。模拟域名准备 &...
如何使用MageScan检测Magento站点的安全性
关于MageScan MageScan是一款功能强大的安全检测工具,在该工具的帮助下,广大研究人员可以轻松对目标MageScan站点进行性能和安全性评估。 工具安装&n...
内网渗透代理-pystinger实现不出网情况下,上线CS的方式
声明:本文分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 背景某hw过程中遇到如...
Alterx | 定制化子域名枚举工具详解
主动子域名枚举 主动子域枚举通常是子域枚举的第二步,我们通过主动与目标互动来找到特定目标/域的子域。 这通常涉及到用一个包含子域前缀(例如:blog、admin、dashboard等)的字典对一个域(...
攻防必备:弱口令爆破工具 crack
0x01 工具介绍支持常见服务口令爆破(未授权检测)ftpsshwmiwmihashsmbmssqloraclemysqlrdppostgresredismemcachedmongodb多线程爆破,支...
移动安全安卓APP指令抽取壳浅析
目标样本为2022年某次比赛中一道Android逆向题目,按照解题情况来看,解出此题目的人数不多,难点在于大量的核心代码被抽取,需要逆向还原代码,掌握了此类考点后,再分析类似于抽取壳就比较容易了。直接...
企业安全建设之邮件安全
0x00 邮件安全防御的四道防线 1、防垃圾邮件、防钓鱼邮件等基础防护2、邮件协议及加固3、安全建模主动监测发现4、朝阳群众上报0x01 防钓鱼邮件协议 1.1 SPFSPF(Sender Polic...
16